• 3 min de lectura
OkoBot distribuye 20 cargas útiles para el robo de criptomonedas
Kaspersky afirma que OkoBot ha operado durante más de un año, usando cebos ClickFix y repositorios falsos en GitHub para robar frases semilla, credenciales y datos de monederos.

Imagen: BleepingComputer
Un marco malicioso denominado OkoBot se está usando para entregar más de 20 cargas útiles destinadas a robar frases semilla de monederos de criptomonedas, credenciales, cookies y otros datos sensibles, según Kaspersky. Las víctimas son alcanzadas mediante ataques ClickFix y repositorios maliciosos en GitHub disfrazados de software legítimo. En un ejemplo, un repositorio alegaba ofrecer SQL Server Management Studio (SSMS) pero en su lugar instalaba una versión troyanizada de Audacity.
Kaspersky dice que la campaña ha estado activa durante más de un año y surgió de la actividad vinculada al script malicioso de PowerShell TookPS. Desde entonces, la cadena de infección se ha reestructurado en un proceso en varias etapas, empleando TookPS al principio para instalar y configurar un bot SSH que descarga el resto del malware.
Cadena de infección de OkoBot. Fuente: Kaspersky
Ese bot SSH también recopila detalles del sistema, como el nombre de usuario, el producto antivirus, la dirección IP y la versión del sistema operativo, además de desactivar las notificaciones de Windows Defender. Asimismo, roba archivos de monederos, cookies del navegador y credenciales de cuentas.
Entre los módulos más destacados de OkoBot se encuentran:

Recomendado
Modelo de pesos abiertos envenenado por menos de $100
- ext daemon/extl.exe: inyecta en Chrome para instalar y ocultar silenciosamente extensiones maliciosas como Rilide, que apunta a credenciales, cookies, datos financieros e información relacionada con criptomonedas
- SeedHunter: inyecta en Trezor Suite, Ledger Wallet y Ledger Live para mostrar una pantalla de recuperación falsa y robar las frases semilla de la cartera
- MC Keylogger: captura pulsaciones de teclas y datos del portapapeles, incluidos textos copiados, imágenes y rutas de archivos; también puede vigilar conexiones USB y tomar capturas de pantalla cada 5 minutos
- OkoSpyware: supervisa 100 programas, incluidos monederos de criptomonedas y gestores de contraseñas, y usa FFmpeg para grabar vídeo de sus ventanas mientras también registra las pulsaciones de teclas
Kaspersky advierte que una frase de recuperación de monedero robada otorga a los atacantes acceso total a los activos de criptomonedas de la víctima, con pocas posibilidades de recuperar los fondos transferidos.
La telemetría de Kaspersky muestra que la mayoría de las víctimas se encuentran en Brasil, seguidas por Vietnam, Canadá, México y Turquía, aunque la campaña se describe como global. La empresa afirma que la actividad de OkoBot se observó por primera vez en enero como una evolución de la campaña TookPS, que ha estado en marcha desde marzo de 2025.
Kaspersky no atribuye OkoBot a un actor de amenazas específico, pero señala varias pistas: los servidores iniciales de entrega por PowerShell están geobloqueados, devolviendo respuestas vacías a direcciones IP procedentes de Rusia y del Commonwealth of Independent States (CIS); el código fuente de SeedHunter incluye comentarios en ruso; y un infostealer utilizado en la operación se promociona en foros rusos de ciberdelincuencia de acceso solo por invitación.
El informe de Kaspersky incluye indicadores de compromiso que cubren hashes, complementos maliciosos, cargas útiles de inyectores, utilidades del bot SSH, rutas de archivos, dominios y direcciones IP.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía BleepingComputer


